Responsible Disclosure

Opgesteld op: 02/06/2020

Responsible Disclosure

Uiteraard vinden wij dat ook onze ICT-systemen veilig moeten zijn en daarom streven we een hoge mate van beveiliging na. Toch kan het gebeuren dat er een zwakke plek in één van onze systemen voorkomt. Wat u kunt doen wanneer u een kwetsbaarheid vindt kunt u lezen op deze pagina.

Deze procedure is opgesteld op basis de Responsible Disclosure leidraad van het Nationaal Cyber Security Centrum (NCSC) van de Nederlandse overheid.

Kwetsbaarheden in ICT-systemen

Indien u een zwakke plek in een van de ICT-systemen van ons heeft gevonden, vernemen wij dit graag van u. Zodat wij zo snel mogelijk de benodigde maatregelen kunnen toepassen. Wij willen graag met u samenwerken om de veiligheid van onze ICT-systemen nog beter te kunnen beschermen. Met het oog hierop voeren wij onderstaand beleid inzake de omgang met meldingen van door u geconstateerde kwetsbaarheden. Hieraan mag u ons houden wanneer u een zwakke plek aantreft in een van de systemen.

Wij vragen u

  • Uw bevindingen te mailen naar [email protected].
  • Voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen.
  • Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan mogelijk meer nodig zijn.
  • Contactgegevens achter te laten zodat wij met u in contact kan komen om samen te werken aan een veilige oplossing.
  • Laat daarom minimaal een e-mail adres of telefoonnummer achter.
  • De melding zo snel mogelijk na ontdekking van de kwetsbaarheid bij ons kenbaar te maken.
  • De informatie over het beveiligingsprobleem niet met anderen te delen totdat het is opgelost.
  • Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.

Wij staan het volgende niet toe

  • Het plaatsen van malware.
  • Het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
  • Het aanbrengen van veranderingen in het systeem.
  • Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
  • Het gebruik maken van het zogeheten “brute-forcen” van toegang tot systemen.
  • Het gebruik maken denial-of-service of social engineering technieken en methodes.

Wat u mag verwachten

  • Indien u bij de melding van een door u geconstateerde kwetsbaarheid in een ICT-systeem van ons aan bovenstaande voorwaarden voldoet, zullen er geen juridische consequenties verbonden zijn aan deze melding.
  • Wij behandelen een melding vertrouwelijk en wij delen persoonlijke gegevens nooit zonder toestemming van de melder met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  • In onderling overleg kunnen wij, indien u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.
  • Wij sturen u binnen 1 werkdag een ontvangstbevestiging.
  • Wij reageren binnen 3 werkdagen op een melding met de beoordeling van de melding en een verwachte datum voor een oplossing.
  • Wij houden de melder op de hoogte van de voortgang van het oplossen van het probleem.
  • Wij lossen het door u geconstateerde beveiligingsprobleem in een systeem zo snel mogelijk, maar uiterlijk binnen 90 dagen, op. In onderling overleg kan worden bepaald of en op welke wijze over het probleem, nadat het is opgelost, kan worden gepubliceerd.
  • Wij bieden mogelijk een beloning als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren van bijvoorbeeld een T-shirt tot maximaal een bedrag van €100. Het moet hierbij wel gaan om een voor ons nog onbekend en serieus beveiligingsprobleem. En het beveiligingsprobleem mag geen betrekking hebben op up-to-date en off-the-shelf software en/of Cloud-diensten die wij afnemen.
  • Ook kunt u, wanneer u dat wilt, genoemd worden in onze Hacker Hall-of-Fame.

Melding doen

Melding kan gedaan worden via het e-mail adres [email protected]. Zorg daarbij ervoor dat de onderstaande zaken (wanneer van toepassing) in de email geadresseerd worden.

  • Contactgegevens:
    • Naam/nickname
    • E-mail-adres
  • Technische gegevens:
    • IP-adressen
    • Domeinnamen
    • URLs
  • Uitwerking kwetsbaarheid:
    • Toelichting
    • Impact of risico
    • Proof-of-Concept
    • Oplossingsrichtingen

Voor meer informatie zie deze link: https://www.mite3.nl/.well-known/security.txt